[发明专利]一种攻击检测方法、装置及网站应用级入侵防护系统WAF

说明书

本申请实施例提供了一种攻击检测方法、装置及网站应用级入侵防护系统WAF，WAF包括代理服务器、连接器和匹配引擎，方法包括：代理服务器接收待检测报文，并将待检测报文传输至连接器；连接器通过匹配引擎的注册接口，将待检测报文传输至匹配引擎；匹配引擎对待检测报文进行攻击检测，确定待检测报文的检测结果。应用本申请实施例提供的技术方案，能够提高WAF的扩展性，解决因攻击检测出现断流，带来的网络中的安全隐患的问题。

技术领域

本申请涉及网络安全防护技术领域，特别是涉及一种攻击检测方法、装置及网站应用级入侵防护系统WAF。

背景技术

随着互联网技术的发展，网站(Web)应用越来越受到业务系统的重视。与此同时，具有强大的计算能力、处理性能以及蕴含较高价值的Web服务器逐渐成为主要攻击对象。

为维护Web服务器的安全，目前常用的网站应用级入侵防护系统(WebApplication Firewall，WAF)为基于Nginx的ModSecurity防护系统。该WAF中，Nginx代理服务器与ModSecurity检测引擎连接，该ModSecurity检测引擎内置了核心规则集。Nginx代理服务器将接收的报文转发至ModSecurity检测引擎，ModSecurity检测引擎对报文进行解析，并将解析结果与核心规则集中的规则进行匹配，确定该报文是否为攻击报文。

上述基于Nginx的ModSecurity防护系统只能与ModSecurity检测引擎进行对接，无法接入其他检测引擎，扩展性差。此外，ModSecurity检测引擎中的规则为静态加载规则，当需要对规则进行调整时，需要重启防护系统，这导致攻击检测出现断流，防护系统失效，给网络带来了安全隐患。

发明内容

本申请实施例的目的在于提供一种攻击检测方法、装置及网站应用级入侵防护系统WAF，以提高WAF的扩展性，解决因攻击检测出现断流，带来的网络中的安全隐患的问题。具体技术方案如下：

第一方面，本申请实施例提供了一种攻击检测方法，应用于WAF，所述WAF包括代理服务器、连接器和匹配引擎，所述方法包括：

所述代理服务器接收待检测报文，并将所述待检测报文传输至所述连接器；

所述连接器通过所述匹配引擎的注册接口，将所述待检测报文传输至所述匹配引擎；

所述匹配引擎对所述待检测报文进行攻击检测，确定所述待检测报文的检测结果。

可选的，所述WAF还包括解析器；

所述连接器通过所述匹配引擎的注册接口，将所述待检测报文传输至所述匹配引擎的步骤，包括：

所述连接器通过解析器接口，将所述待检测报文传输至所述解析器；

所述解析器按照预设协议格式，解析所述待检测报文，得到所述预设协议格式的解析结果；

所述连接器通过所述匹配引擎的注册接口，将所述解析结果传输至所述匹配引擎。

可选的，所述方法还包括：

所述连接器接收所述匹配引擎反馈的所述检测结果，并将所述检测结果传输至所述代理服务器；

所述代理服务器在所述检测结果指示所述待检测报文为攻击报文的情况下，则丢弃所述待检测报文；

所述代理服务器在所述检测结果指示所述待检测报文为正常报文的情况下，转发所述待检测报文。

可选的，所述方法还包括：

所述代理服务器在接收所述待检测报文前，向所述连接器传输规则存储路径；

所述连接器从所述规则存储路径处，获取规则集合；利用所述规则集合构建所述匹配引擎，并注册所述匹配引擎的注册接口。